微慑信息网

Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)

Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

漏洞名称:Nexus Repository Manager远程代码执行漏洞

威胁等级:高危

影响范围:Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

漏洞类型:代码执行

利用难度:较难

漏洞分析

1 Nexus Repository Manager介绍

Nexus Repository是一款通用的软件包仓库管理(Universal Repository Manager)服务,可以用来搭建 Maven 仓库私服。它提供了强大的仓库管理、构件搜索等功能,并且,还可以在代理远程仓库的同时维护本地仓库,以节省大量资源。

2 漏洞描述

近日,深信服安全团队监测到了一则Sonatype 官方安全公告,该公告声明,Nexus Repository Manager 3系列版本存在一个远程代码执行漏洞,CVE编号CVE-2020-10199。该漏洞允许拥有Nexus Repository Manager 上任何类型帐户的攻击者通过向Nexus Repository Manager 发出恶意 JavaEL 表达式来执行任意代码。

影响范围

目前受影响的Nexus Repository Manager版本:

Nexus Repository Manager OSS/Pro 3.x <= 3.21.1

修复建议

目前Sonatype 官方已发布修复版本。

用户需要更新到Nexus Repository Manager OSS/Pro 3.21.2版本:

https://help.sonatype.com/repomanager3/download/

参考链接

https://support.sonatype.com/hc/en-us/articles/360044882533

本文标题:Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)
本文链接:
(转载请附上本文链接)
http://vulsee.com/archives/vulsee_2020/0404_10954.html
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » Nexus Repository Manager远程代码执行漏洞(CVE-2020-10199)
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

微慑信息网 专注工匠精神

访问我们联系我们